10Jul
Şimdiye kadar, çoğu kişi açık bir Wi-Fi şebekesinin insanların trafiğini izlemesine izin verdiğini biliyor. Standart WPA2-PSK şifrelemesinin bunun olmasını önlemeniz gerekiyor - ancak düşündüğünüz kadar kusursuz değil.
Bu, yeni bir güvenlik açığı ile ilgili büyük haberi değil. Bunun yerine, WPA2-PSK'nın her zaman uygulanma şekli budur. Ancak çoğu insan bilmediği bir şey.
Açık Wi-Fi Ağları vs Şifrelenmiş Wi-Fi Ağları
Evinizde açık bir Wi-Fi şebekesi barındırmamalısınız, ancak kendinizi şuradan birinde kullanıyormuş gibi görünüyorsunuz - örneğin bir kafedehavaalanı veya bir otelde. Açık Wi-Fi şebekelerinde şifreleme yoktur, yani havada gönderilen her şey "açık" demektir. İnsanlar tarama etkinliğinizi izleyebilir ve şifrelemeyle güvence altına alınmayan herhangi bir web etkinliği gözetlenebilir. Evet, açık Wi-Fi şebekesinde oturum açtıktan sonra bir web sayfasında bir kullanıcı adı ve şifre ile "oturum açmanız" gerekiyorsa bu durum doğrudur.
Şifreleme - evde kullanmanızı önerdiğimiz WPA2-PSK şifrelemesi gibi - bunu biraz giderir. Yakınlardaki birisi trafiği yakalayıp yalnızca üzerinizde gizlice gezinemez. Bir grup şifreli trafik alacaklar. Bu, şifrelenmiş bir Wi-Fi şebekesinin özel trafiğinizi gizlice izlemesini önlediği anlamına gelir.
Bu doğru - fakat burada büyük bir zayıflık var.
WPA2-PSK Paylaşılan Bir Anahtarı Kullanıyor
WPA2-PSK ile ilgili bir sorun "Önceden Paylaşılan Anahtar" kullanıyor olmasıdır. Bu anahtar, Wi-Fi ağına bağlanmak için girmeniz gereken parola veya paroladır. Bağlanan herkes aynı parolayı kullanır.
Birinin bu şifreli trafiği izlemesi oldukça kolaydır.İhtiyacınız olan tek şey:
- Parolalı : Wi-Fi şebekesine bağlanmak için izin sahibi herkes buna sahip olacak.
- Yeni bir istemci için ilişkilendirme trafiği: Birisi, bağlandığında yönlendirici ile bir aygıt arasında gönderilen paketleri yakalarsa, trafiğin şifresini çözmek için ihtiyaç duyduğu her şeye sahiptir( elbette bir de parolanın olduğu varsayılarak).Bu trafiği bir cihazın bir Wi-Fi ağından zorla çıkarılmasına ve yeniden bağlanmaya zorlanması "deauth" saldırıları yoluyla almak da önemlidir ve bu da bağlantı sürecinin tekrarlanmasına neden olur.
Gerçekten, bunun ne kadar basit olduğunu vurgulamayız. Wireshark, önceden paylaşılan anahtarı ve ilişkilendirme işlemi için trafiği yakaladığınız sürece WPA2-PSK trafiğini otomatik olarak şifresini çözecek yerleşik bir seçeneği vardır.
Bu Aslında Anlamı:
Bunun anlamı şudur: ağdaki herkese güvenmiyorsanız, WPA2-PSK dinlemeye karşı çok daha güvenli değildir. Evde, güvenli olmalısınız, çünkü Wi-Fi şifreniz bir sır niteliğindedir.
Bununla birlikte, bir kahveye giderseniz ve açık bir Wi-Fi şebekesi yerine WPA2-PSK kullandıysanız, gizliliğinizde daha fazla güvende olabilirsiniz. Ancak yapmamalısınız - kahve dükkânının Wi-Fi parolası olan herkes göz atma trafiğini izleyebilir. Ağdaki diğer insanlar veya yalnızca parolalı diğeri, istedikleri takdirde trafiğini gizleyebilir.
Bunu dikkate aldığınızdan emin olun. WPA2-PSK, şebekeye erişimi olmayan kişilerin gözetlenmesini önler. Ancak, ağın parolasını aldıktan sonra, tüm bahisler kapanır.
Neden WPA2-PSK bunu Durdurmaya Çalışmıyor mu?
WPA2-PSK aslında bunu bir "pairwise transient key"( PTK) kullanarak durdurmayı deniyor. Her bir kablosuz istemcinin benzersiz bir PTK'sı var. Bununla birlikte, bu çok fazla yardımcı olmaz; çünkü istemci başına anahtar her zaman önceden paylaşılan anahtardan türetilir( Kablosuz parolası.) Bu nedenle, bir müşterinin benzersiz anahtarını yakalamak önemsizdir, çünkü Wi-Fi passphrase ve ilişkilendirme işlemi yoluyla gönderilen trafiği yakalayabilir.
WPA2-Enterprise Bunu Çözüyor. .. Büyük Ağlar İçin
Güvenli Wi-Fi ağları isteyen büyük kuruluşlar için, bu güvenlik zayıflığı, bazen WPA2-Enterprise olarak adlandırılan bir RADIUS sunucusuyla EAP yetkilendirmesinin kullanılması yoluyla engellenebilir. Bu sistemle, her bir Wi-Fi istemcisi gerçekten benzersiz bir anahtar alır. Hiçbir Kablosuz müşterisinin, başka bir istemciye gözatmaya başlamak için yeterli bilgiye sahip olmadığı bu nedenle, daha fazla güvenlik sağlanır. Büyük kurumsal ofisler veya devlet kurumları bu nedenle WPA2-Enteprise'i kullanmalıdır.
Ancak bu, insanların - hatta çoğu meraklılarının - evde kullanmaları için çok karmaşık ve karmaşıktır. Bağlanmak istediğiniz aygıtlara girmeniz gereken bir Kablosuz parolası yerine, kimlik doğrulamasını ve anahtar yönetimini yürüten bir RADIUS sunucusu yönetmeniz gerekir. Ev kullanıcılarının kurmaları çok daha karmaşıktır.
Aslında, Wi-Fi şebekenizdeki herkese veya Wi-Fi şifrenize erişen herkese güveniyorsanız zaman ayırmaya değmez. Bu yalnızca, halka açık bir yerde - kahve dükkanı, havaalanı, otel veya daha büyük bir ofiste WPA2-PSK şifrelenmiş Wi-Fi şebekesine bağlıysanız, buna güvenmediğiniz diğer kişilerin de Wi-FI ağının parolası.
Gökyüzü düşüyor mu? Hayır tabii değil. Ancak, şunu aklınızda bulundurun: Bir WPA2-PSK ağına bağlı olduğunuzda, o ağı kullanan diğer insanlar trafiğinizi kolayca gizleyebilir.Çoğu insanın inanmasına rağmen, bu şifreleme, ağa erişimi olan diğer insanlara karşı koruma sağlamaz.
Herkese açık bir Wi-Fi şebekesinde hassas sitelere erişmek zorundaysanız - özellikle HTTPS şifreleme kullanmayan web siteleri - bunu bir VPN veya bir SSH tüneli üzerinden gerçekleştirmeyi düşünün. Genel ağlardaki WPA2-PSK şifrelemesi yeterince iyi değil.
Resim Kredisi: Flickr'da Cory Doctorow, Flickr'da Gıda Grubu, Flickr'da Robert Couse-Baker